深信服超融合平臺-測試方案

1、PAGE 深信服超融合平臺測試方案 目 錄 TOC o 1-3 h z u HYPERLINK l _Toc485738116 第1章測試概述 PAGEREF _Toc485738116 h 2 HYPERLINK l _Toc485738117 1.1概述 PAGEREF _Toc485738117 h 2 HYPERLINK l _Toc485738118 1.2測試環(huán)境準備 PAGEREF _Toc485738118 h 2 HYPERLINK l _Toc485738119 1.3超融合系統(tǒng)安裝 PAGEREF _Toc485738119 h 3 HYPERLINK l _Toc485

2、738120 第2章測試內(nèi)容 PAGEREF _Toc485738120 h 3 HYPERLINK l _Toc485738121 2.1架構(gòu)環(huán)境的快速部署 PAGEREF _Toc485738121 h 3 HYPERLINK l _Toc485738122 2.2業(yè)務高可用場景測試 PAGEREF _Toc485738122 h 5 HYPERLINK l _Toc485738123 2.3虛擬網(wǎng)絡通信場景測試 PAGEREF _Toc485738123 h 10 HYPERLINK l _Toc485738124 2.4安全防護場景 PAGEREF _Toc485738124 h 14

3、 HYPERLINK l _Toc485738125 2.5運維管理場景測試 PAGEREF _Toc485738125 h 22 HYPERLINK l _Toc485738126 2.6性能測試 PAGEREF _Toc485738126 h 26 HYPERLINK l _Toc485738127 3. 測試方案特點 PAGEREF _Toc485738127 h 28測試概述概述深信服超融合架構(gòu)將X86服務器通過深信服超融合軟件定義的方式，提供虛擬化的計算資源，網(wǎng)絡資源，存儲資源，安全資源。通過將服務器物理資源轉(zhuǎn)化為一組可統(tǒng)一管理、分配和調(diào)度的邏輯資源，并基于這些邏輯資源在單個物理服務

4、器上構(gòu)建多個同時運行、相互隔離的虛擬機執(zhí)行環(huán)境，同時配合軟件定義的網(wǎng)絡和網(wǎng)絡功能軟件化方式，最大限度的提高了資源的利用率，同時滿足應用更加靈活的資源動態(tài)分配需求，譬如提供熱遷移、HA等高可用特性、業(yè)務的網(wǎng)絡邏輯快速部署，實現(xiàn)更低的運營成本、更高的靈活性和更快速的業(yè)務響應速度。測試環(huán)境準備硬件設備設備名稱詳細描述用戶提供的服務器至少服務器2臺（A機和B機滿足超融合推薦配置）千兆交換機千兆二層交換機2臺USB key（飛天key）開序列號USB key，需要支持vaf和vad的key應用軟件和工具P2v轉(zhuǎn)換工具HD Tune 5.5 虛擬機Web服務器一臺（Webgoat），用于安全測試超融合系統(tǒng)

5、安裝特點：安裝簡單、快速，并且過程中采用中文提示操作無需安裝管理中心，部署完成虛擬化系統(tǒng)后，即可實現(xiàn)虛擬機的部署和管理測試內(nèi)容架構(gòu)環(huán)境的快速部署業(yè)務系統(tǒng)的遷移-P2V遷移測試測試目標將客戶的物理業(yè)務系統(tǒng)快速遷移到服務器虛擬化平臺，業(yè)務不中斷注意事項預置條件1.待遷移服務器：現(xiàn)有業(yè)務系統(tǒng)的Windows服務器2.Sangfor_aSV_Converte工具已上傳到物理系統(tǒng)3.被遷移服務器與一體機管理網(wǎng)絡能互通，一體機存儲空間大于待遷移物理主機的磁盤數(shù)據(jù)空間測試步驟1.在物理服務器中運行Sangfor_aSV_Converte工具，閱讀并勾選軟件許可協(xié)議，立即安裝【遷移當前主機】2.選擇要遷移的目

6、的一體機，輸入目的主機的admin賬戶密碼進行認證。 3.配置遷移目的虛擬機的名稱、存儲位置為目的共享存儲，運行位置為目的自動選擇，資源消耗為保持和物理服務器一致4.安裝成功后，選擇【關(guān)閉物理機，啟動虛擬機，由虛擬機接管業(yè)務】，重啟設備預期結(jié)果1.重啟后開始遷移，登錄服務器虛擬化一體機主機控制臺頁面的日志欄，可以看到當前遷移的任務進度；完成遷移后，物理主機自動關(guān)機，遷移的目的虛擬機自動開機并正常運行，原業(yè)務可用。2.千兆網(wǎng)絡遷移速度可達70MB/S測試結(jié)果口通過 口 部分通過 口 未通過 口 未測試備 注業(yè)務高可用場景測試主要結(jié)合客戶的業(yè)務系統(tǒng)虛擬機進行相應的高可用測試。主機故障遷移測試測試目

7、標主機故障時，對應虛擬機上的業(yè)務系統(tǒng)不中斷注意事項預置條件業(yè)務系統(tǒng)虛擬機啟用了HA功能測試步驟1.業(yè)務系統(tǒng)虛擬機，運行在主機A上2.辦公網(wǎng)絡一pc長ping “業(yè)務系統(tǒng)虛擬機”3.將主機A斷電4.檢查步驟2 中pc ping情況預期結(jié)果1.主機故障時，ping不通，5min內(nèi)可繼續(xù)ping通，說明虛擬機被拉起，運行在B主機上，業(yè)務恢復測試結(jié)果口 通過 口 部分通過 口 未通過 口 未測試備 注業(yè)務網(wǎng)絡故障遷移測試測試目標業(yè)務網(wǎng)絡故障時虛擬機的高可用功能注意事項預置條件1、虛擬機啟用了HA功能2、網(wǎng)絡參照下圖部署測試步驟1.“業(yè)務系統(tǒng)虛擬機”，運行在主機A上2.辦公網(wǎng)絡一pc長ping 業(yè)務系統(tǒng)

8、虛擬機3.拔掉主機A 業(yè)務口 網(wǎng)線（eth2口）4.檢查步驟2 中pc ping情況預期結(jié)果1.業(yè)務網(wǎng)絡故障時，ping不通，5min內(nèi)可繼續(xù)ping通，說明虛擬機被拉起至B主機，業(yè)務恢復測試結(jié)果口 通過 口 部分通過 口 未通過 口 未測試備 注備份恢復測試測試目標一鍵備份虛擬機注意事項無預置條件測試步驟1.在業(yè)務虛擬機中新建文件test.txt2.設備備份策略，選擇要步驟1中的虛擬機備份3.超過備份開始時間后查看情況4.刪除備份虛擬機的中test.txt5.選擇一個時間點的備份恢復預期結(jié)果1在設置的時間按照備份策略備份，可以看到虛擬機的最后一次備份時間2.恢復成功，test.txt文件被恢

9、復測試結(jié)果口 通過 口 部分通過 口 未通過 口 未測試備 注快照恢復測試測試目標通過快照來恢復虛擬機上的業(yè)務數(shù)據(jù)注意事項無預置條件測試步驟1.在虛擬機中新建文件test.txt2.設置快照策略，選擇要快照的虛擬機3.超過快照開始時間后查看情況4.刪除備份虛擬機的中test.txt5.選擇一個時間點的快照恢復預期結(jié)果1.在設置的時間按照快照策略備份，可以看到虛擬機的快照2.恢復成功，test.txt文件被恢復測試結(jié)果口 通過 口 部分通過 口 未通過 口 未測試備 注虛擬網(wǎng)絡通信場景測試虛擬網(wǎng)絡通信測試，為更加直觀的測試效果，本次虛擬機采用額外創(chuàng)建新測試虛擬機的方式（可提前按照虛擬機模版部署好

10、測試虛擬機）虛擬網(wǎng)絡部署測試目標 虛擬網(wǎng)絡可視化部署（所畫即所得），簡單快速，鏈路流量可視注意事項pc端先關(guān)閉防火墻（ 虛擬機為新建測試虛擬機”VM1”和“VM2”，提前創(chuàng)建）預置條件測試步驟1.進入編輯虛擬網(wǎng)絡模式2.從左側(cè)圖標中分別拖入一個物理出口、2個交換機、1個路由器、2臺虛擬機到畫布中3.為物理出口配置 連接的2臺實體主機網(wǎng)口eth24.路由器增加2個子接口5.鼠標切換到連線模式，為物理出口，虛擬路由器，虛擬交換機，虛擬機連接好虛擬網(wǎng)線，2個交換機分別在路由器的2個子接口6.根據(jù)網(wǎng)絡環(huán)境設置各設備網(wǎng)口IP7.檢查網(wǎng)絡連通性，vm1 ping vm2，vm1和vm2分別ping辦公區(qū)網(wǎng)

11、絡預期結(jié)果1以上1，2，3，4，5 ，6步驟中整個網(wǎng)絡部署過程可視，簡單方便2.以上第7步驟中連通的設備會直觀展示出來，虛擬機之間能相互ping通，虛擬機和物理網(wǎng)絡中pc可以相互ping通，網(wǎng)絡流量可視測試結(jié)果口通過 口 部分通過 口 未通過 口 未測試備 注分布式交換機測試目標分布式交換機，集群斷掉一臺主機不影響網(wǎng)絡連通性在虛擬服務器中組建虛擬網(wǎng)絡，可以互相通信注意事項1、互ping的pc先關(guān)閉防火墻預置條件測試步驟1.在 上例“虛擬網(wǎng)絡部署” 中繼續(xù)測試2.辦公區(qū)網(wǎng)絡pc長ping vm13.遷移vm1運行位置到另一個主機4.檢查步驟2辦公pc ping情況預期結(jié)果2.能ping通4.整個

12、過程只丟=3個ping包測試結(jié)果口 通過 口 部分通過 口 未通過 口 未測試備 注鏈路探測測試目標鏈路探測功能方便定位鏈路故障節(jié)點注意事項預置條件沿用拓撲如下測試步驟1.在虛擬網(wǎng)絡頁面，打開連通性探測2.選擇VM1虛擬機，目的地址到VM2虛擬IP，開始探測3.去掉vr2靜態(tài)路由，再次按照步驟探測預期結(jié)果1.鏈路暢通2.鏈路不通，可方便的定位在vr2節(jié)點處不通測試結(jié)果口通過 口 部分通過 口 未通過 口 未測試備 注鏈路流量實時顯示測試目標鏈路流量實時顯示，方便用戶實時掌握業(yè)務網(wǎng)絡流量情況注意事項預置條件沿用拓撲如下測試步驟1.在虛擬網(wǎng)絡頁面，打開流量顯示功能2. 觀察拓撲中的鏈路流量預期結(jié)果

13、1.鏈路流量實時顯示2.可通過流量顯示開關(guān)實時開啟或者關(guān)閉測試結(jié)果口通過 口 部分通過 口 未通過 口 未測試備 注安全防護場景通過部署虛擬機防火墻的方式，實現(xiàn)業(yè)務的安全防護（無需借助物理硬件的安全設備），該測試為功能測試，采用新建測試虛擬機（VM1和VM2）進行測試。2.4.1vaf防火墻實現(xiàn)虛擬機的安全防護測試目標利用虛擬防火墻對虛擬機上運行的web服務器進行安全防護，在WEB服務器遭受到外部攻擊時，vaf能進行阻斷，并記錄相應的安全日志信息注意事項預置條件測試邏輯拓撲如下圖在拓撲圖的編輯模式已經(jīng)開通vaf序列號Vm虛擬機運行遠程連接測試步驟1.從畫布左側(cè)拖入vaf，設置好vaf網(wǎng)口數(shù)據(jù)，

14、硬件配置，存儲位置，運行位置等各項參數(shù)，點立即生效2.對vaf進行授權(quán)3.按照上圖拓撲連好網(wǎng)線4.登錄vaf控制臺配置連接vsw1，vsw2 ，vr的口為透傳模式，連接方式為access，并按照5.辦公區(qū) pc 遠程一臺vm16.在vaf中放通控制策略，辦公區(qū)pc 遠程 vm17.在vaf中啟用waf功能，按照默認設置即可8.使用sql注入工具pangolin掃描web服務器預期結(jié)果1以上1，2，3，4都可部署成功2.無法遠程3.可以遠程4.被vaf拒絕，在vaf日志中有拒絕記錄測試結(jié)果口 通過 口 部分通過 口 未通過 口 未測試備 注2.4.2 SQL注入攻擊防護測試目標測試WAF對SQL

15、注入攻擊的防護注意事項開通vAF防火墻序列號預置條件1.測試邏輯拓撲參照2.4.12.配置vAF為路由模式3.虛擬機vm1安裝IISweb服務器，安裝webgoat測試步驟 1、辦公區(qū)pc作為客戶端訪問被測網(wǎng)站：HYPERLINK /dvwa/vulnerabilities/sqli/?id=-1%20UNION%20SELECT%201,concat(table_name)%20from%20information_schema.tables%20where%20table_schema=database()%20%23&Submit=%C8%B7%B6%A8 /dvwa/vulnerabi

16、lities/sqli/?id=-1%20UNION%20SELECT%201,concat(table_name)%20from%20information_schema.tables%20where%20table_schema=database()%20%23&Submit=%C8%B7%B6%A82、檢查是否可以獲取到相應的數(shù)據(jù)庫信息3、開啟vAF的sql注入防護功能4、再次訪問如下url:HYPERLINK /dvwa/vulnerabilities/sqli/?id=-1%20UNION%20SELECT%201,concat(table_name)%20from%20inform

17、ation_schema.tables%20where%20table_schema=database()%20%23&Submit=%C8%B7%B6%A8 /dvwa/vulnerabilities/sqli/?id=-1%20UNION%20SELECT%201,concat(table_name)%20from%20information_schema.tables%20where%20table_schema=database()%20%23&Submit=%C8%B7%B6%A85、查看是否可以成功獲取到數(shù)據(jù)庫信息預期結(jié)果1.可以成功獲取數(shù)據(jù)庫的表信息2無法獲取到數(shù)據(jù)庫的表信息，且

18、被測設備有日志記錄測試結(jié)果口 通過 口 部分通過 口 未通過 口 未測試備 注2.4.3 XSS跨站腳本攻擊防護測試目標測試WAF設備對手工測試情況下XSS攻擊的防護注意事項預置條件1.測試環(huán)境如2.4.1節(jié)測試步驟1、登陸dvwa測試網(wǎng)站2、訪問HYPERLINK 46/dvwa/vulnerabilities/xss_s/ /dvwa/vulnerabilities/xss_s/3、在信息內(nèi)容中輸入alert(“xss”)后提交，查看是否有xss提示框4、開啟vAF的xss攻擊防護功能5、再在信息內(nèi)容中輸入alert(“xss”)后提交預期結(jié)果1、可以成功提交，并有xss的提示框2、無法提

19、交成功測試結(jié)果口 通過 口 部分通過 口 未通過 口 未測試備 注2.4.4 OS命令注入攻擊防護測試目標測試WAF設備對OS命令注入攻擊的防護注意事項預置條件1.測試環(huán)境如2.4.1節(jié)測試步驟1、訪問HYPERLINK 6/dvwa/vulnerabilities/exec/ /dvwa/vulnerabilities/exec/2、禁用vAF的命令注入功能3、在輸入框內(nèi)輸入&cat /etc/passwd并提交，查看是否能夠查看到服務器的用戶信息4、啟用被vAF的命令注入功能5、在輸入框內(nèi)輸入&cat /etc/passwd并提交，查看是否能夠查看到用戶信息預期結(jié)果1.可以查看到服務器的用

20、戶信息2.無法查看到用戶信息，該請求被阻斷測試結(jié)果口 通過 口 部分通過 口 未通過 口 未測試備 注2.4.5 僵尸網(wǎng)絡檢測測試目標服務器存在被黑客植入遠控木馬的風險，從而能夠竊取服務器上的敏感信息，測試WAF設備能夠?qū)┦鳈C進行檢測，并阻斷可疑流量注意事項預置條件 1.測試環(huán)境如2.4.1節(jié)測試步驟1、在Web服務器上植入遠程控制木馬病毒，如灰鴿子；2、通過外網(wǎng)終端連接服務器上的木馬；3、查看vAF日志查看是否檢測到木馬病毒預期結(jié)果1、被測設備能夠查看阻攔木馬的日志記錄。測試結(jié)果口 通過 口 部分通過 口 未通過 口 未測試備 注2.4.6 網(wǎng)頁防纂改測試目標測試WAF設備能夠?qū)Ρ淮鄹牡?/p>

21、網(wǎng)頁進行攔截，網(wǎng)頁恢復后能夠正常訪問注意事項開通vAF防火墻序列號預置條件 1.測試環(huán)境如2.4.1節(jié)測試步驟1、Web服務器根目錄下放置一個index.html文件；2、vAF配置防篡改策略，檢測和攔截篡改數(shù)據(jù)；3、修改index.html文件一個字節(jié)；4、客戶端訪問index.html網(wǎng)頁；預期結(jié)果1、WAF設備具備對篡改的網(wǎng)頁檢測和恢復，客戶端無法訪問被篡改的網(wǎng)頁，篡改數(shù)據(jù)被攔截。測試結(jié)果口 通過 口 部分通過 口 未通過 口 未測試備 注2.4.7 Webshell上傳攻擊防護測試目標測試WAF設備Webshell文件上傳過濾功能，由于Web應用系統(tǒng)在開發(fā)時并沒有完善的安全控制，對上傳

22、至Web服務器的信息進行檢查，從而導致Web服務器被植入病毒、木馬成為黑客利用的工具，為防止黑客或內(nèi)部人員通過某種攻擊方式強行獲取服務器權(quán)限之后，或服務器存在上傳漏洞時，通過已有的權(quán)限或借助漏洞上傳惡意文件構(gòu)造僵尸網(wǎng)絡、破壞網(wǎng)絡安全等，需通過文件上傳過濾進行防護注意事項預置條件1.測試環(huán)境如2.4.1節(jié)測試步驟1、開啟vAF文件Webshell防護功能；2、訪問HYPERLINK 6/dvwa/vulnerabilities/upload/ /dvwa/vulnerabilities/upload/3、在本地選擇一個webshell文件進行上傳4、查看文件是否可以上傳成功，查看返回的信息是否可

23、以訪問上傳的webshell文件預期結(jié)果1.上傳webshell失敗2. 文件無法上傳，也無法訪問上傳的webshell文件測試結(jié)果口 通過 口 部分通過 口 未通過 口 未測試備 注2.4.8 vAD負載均衡場景測試目標測試vAD對應用負載均衡場景注意事項開通vAD序列號預置條件 1、vAD旁路部署 2、VM1和VM2為2臺web服務器測試步驟1、配置vAD http應用負載策略 a 配置IP 組，將aAD 單臂wan端的IP 添加到IP 組 b 配置節(jié)點池，將vm1和vm2的ip加入節(jié)點池 c 配置前置調(diào)度策略 d 新建http應用，關(guān)聯(lián) ip組，節(jié)點池和前置調(diào)度策略2、訪問web服務器，

24、并查看2臺web服務器調(diào)度情況預期結(jié)果2臺web服務器輪詢調(diào)度（可以通過在web服務器上抓包查看，或者在vAD控制臺的節(jié)點池狀態(tài)中查看）測試結(jié)果口 通過 口 部分通過 口 未通過 口 未測試備 注運維管理場景測試本場景測試，可以采用業(yè)務系統(tǒng)虛擬機，也可以采用新建測試虛擬機進行。2.5.1 虛擬機開機熱遷移運行位置測試測試目標虛擬機開機熱遷移運行位置，遷移過程不影響虛擬機業(yè)務注意事項預置條件1.“業(yè)務系統(tǒng)虛擬機”能與辦公PC互通2. “業(yè)務系統(tǒng)虛擬機”處于開機狀態(tài)測試步驟1.在待遷移的虛擬機 中ping 辦公網(wǎng)絡pc2.在虛擬機圖標中找到遷移3.修改運行位置4.觀察虛擬機中ping情況預期結(jié)果1

25、.能快速遷移虛擬機到運行位置，遷移成功2.遷移過程ping持續(xù)能通，不受遷移影響測試結(jié)果口 通過 口 部分通過 口 未通過 口 未測試備 注2.5.2 虛擬機開機狀態(tài)遷移存儲位置測試測試目標虛擬機開機狀態(tài)遷移存儲位置，遷移過程不影響虛擬機業(yè)務注意事項預置條件1.虛擬機“win2003-cs”處于開機狀態(tài)測試步驟1.在待遷移的虛擬機中下載一個可執(zhí)行文件2.在虛擬機圖標中找到遷移3.修改存儲位置4.檢查步驟1文件下載預期結(jié)果1.能快速遷移存儲位置2.文件下載不受影響，且文件下載完成后可安裝運行測試結(jié)果口 通過 口 部分通過 口 未通過 口 未測試備 注2.5.3 集群橫向擴展測試測試目標增加一臺物理主機橫向擴展，計算性能和存儲容量線性擴展，不影響現(xiàn)有集群虛擬機業(yè)務注意事項能夠提供第三臺服務器的情況下預置條件1.擴容的單臺主機已安裝超融合一體機軟件（硬件滿足配置要求）2.擴容前檢查集群序列號授權(quán)情況